首先確認主機是否被感染

被感染的機器屏幕會顯示如下的告知付贖金的界面：

如果主機已被感染：

則將該主機隔離或斷網(拔網線)。若客戶存在該主機備份，則啟動備份恢復程序。

如果主機未被感染：

則存在四種方式進行防護，均可以避免主機被感染。針對未感染主機，方式二是屬于徹底根除的手段，但耗時較長;其他方式均屬于抑制手段，其中方式一效率最高。

從響應效率和質量上，360 建議首先采用方式一進行抑制，再采用方式二進行根除。

方式一：啟用蠕蟲快速免疫工具

免疫工具的下載地址：http://dl.b.360.cn/tools/OnionWormImmune.exe

請雙擊運行 OnionWormImmune.exe 工具，并檢查任務管理器中的狀態。

方式二：針對主機進行補丁升級

請參考緊急處置工具包相關目錄并安裝 MS17-010 補丁，微軟已經發布winxp_sp3 至 win10、win2003 至 win2016 的全系列補丁。

微軟官方下載地址：

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

快速下載地址：

https://yunpan.cn/cXLwmvHrMF3WI 訪問密碼 614d

方式三：關閉 445 端口相關服務

點擊開始菜單，運行，cmd，確認。

輸入命令 netstat –an 查看端口狀態

輸入 net stop rdr 回車

net stop srv 回車

net stop netbt 回車

再次輸入 netsta –an，成功關閉 445 端口。

方式四：配置主機級 ACL 策略封堵 445 端口

通過組策略 IP 安全策略限制 Windows 網絡共享協議相關端口

開始菜單->運行，輸入 gpedit.msc 回車。打開組策略編輯器

在組策略編輯器中，計算機配置->windows 設置->安全設置->ip 安全策略 下，　　在編輯器右邊空白處鼠標右鍵單擊，選擇“創建 IP 安全策略”

下一步->名稱填寫“封端口”，下一步->下一步->勾選編輯屬性，并點完成

去掉“使用添加向導”的勾選后，點擊“添加”

在新彈出的窗口，選擇“IP 篩選列表”選項卡，點擊“添加”

在新彈出的窗口中填寫名稱，去掉“使用添加向導”前面的勾，單擊“添加”

在新彈出的窗口中，“協議”選項卡下，選擇協議和設置到達端口信息，并點確定。

重復第 7 個步驟，添加 TCP 端口 135、139、445。添加 UDP 端口 137、138。添加全部完成后，確定。

選中剛添加完成的“端口過濾”規則，然后選擇“篩選器操作”選項卡。

去掉“使用添加向導”勾選，單擊“添加”按鈕

1. 選擇“阻止”

2. 選擇“常規”選項卡，給這個篩選器起名“阻止”，然后“確定”。點擊

3. 確認“IP 篩選列表”選項卡下的“端口過濾”被選中。確認“篩選器操作”選項卡下的“阻止”被選中。然后點擊“關閉”。

4. 確認安全規則配置正確。點擊確定。

5. 在“組策略編輯器”上，右鍵“分配”，將規則啟用。

第2章 核心網絡設備應急處置操作指南

大型機構由于設備眾多，為了避免感染設備之后的廣泛傳播，建議利用各網絡設備的 ACL 策略配置，以實現臨時封堵。

該蠕蟲病毒主要利用 TCP 的 445 端口進行傳播, 對于各大企事業單位影響很大。為了阻斷病毒快速傳播, 建議在核心網絡設備的三層接口位置, 配置 ACL 規則從網絡層面阻斷 TCP 445 端口的通訊。

以下內容是基于較為流行的網絡設備，舉例說明如何配置 ACL 規則，以禁止TCP 445 網絡端口傳輸，僅供大家參考。在實際操作中，請協調網絡管理人員或網絡設備廠商服務人員，根據實際網絡環境在核心網絡設備上進行配置。

Juniper 設備的建議配置(示例):

set firewall family inet filter deny-wannacry term deny445 from protocol tcp

set firewall family inet filter deny-wannacry term deny445 from destination-port 445 set firewall family inet filter deny-wannacry term deny445 then discard

set firewall family inet filter deny-wannacry term default then accept

#在全局應用規則

set forwarding-options family inet filter output deny-wannacry set forwarding-options family inet filter input deny-wannacry

#在三層接口應用規則

set interfaces [ 需要掛載的三層端口名稱 ] unit 0 family inet filter output deny-wannacry

set interfaces [ 需要掛載的三層端口名稱 ] unit 0 family inet filter input deny-wannacry

華三(H3C)設備的建議配置(示例):

新版本: acl number 3050

rule deny tcp destination-port 445 rule permit ip

interface [需要掛載的三層端口名稱] packet-filter 3050 inbound packet-filter 3050 outbound

舊版本: acl number 3050

rule permit tcp destination-port 445

traffic classifier deny-wannacry if-match acl 3050

traffic behavior deny-wannacry filter deny

qos policy deny-wannacry

classifier deny-wannacry behavior deny-wannacry

#在全局應用

qos apply policy deny-wannacry global inbound qos apply policy deny-wannacry global outbound

#在三層接口應用規則

interface [需要掛載的三層端口名稱]

qos apply policy deny-wannacry inbound

qos apply policy deny-wannacry outbound

華為設備的建議配置(示例):

acl number 3050

rule deny tcp destination-port eq 445 rule permit ip

traffic classifier deny-wannacry type and if-match acl 3050

traffic behavior deny-wannacry

traffic policy deny-wannacry

classifier deny-wannacry behavior deny-wannacry precedence 5

interface [需要掛載的三層端口名稱] traffic-policy deny-wannacry inbound traffic-policy deny-wannacry outbound

Cisco 設備的建議配置(示例):

舊版本:

ip access-list extended deny-wannacry

deny tcp any any eq 445

permit ip any any

interface [需要掛載的三層端口名稱] ip access-group deny-wannacry in

ip access-group deny-wannacry out

新版本:

ip access-list deny-wannacry deny tcp any any eq 445 permit ip any any

interface [需要掛載的三層端口名稱] ip access-group deny-wannacry in

ip access-group deny-wannacry out

銳捷設備的建議配置(示例):

ip access-list extended deny-wannacry deny tcp any any eq 445

permit ip any any

interface [需要掛載的三層端口名稱] ip access-group deny-wannacry in

ip access-group deny-wannacry out

第3章 互聯網主機應急處置操作指南

采用快速處置方式，建議使用 360 安全衛士的“NSA 武器庫免疫工具 ”，可一鍵檢測修復漏洞、關閉高風險服務，包括精準檢測出 NSA 武器庫使用的漏洞

是否已經修復，并提示用戶安裝相應的補丁。針對 XP、2003 等無補丁的系統版本用戶，防御工具能夠幫助用戶關閉存在高危風險的服務，從而對 NSA 黑客武器攻擊的系統漏洞徹底“免疫”。

NSA 武器庫免疫工具下載地址：http://dl.360safe.com/nsa/nsatool.exe

原文發布時間為：2017年5月13日 本文來自云棲社區合作伙伴至頂網，了解相關信息可以關注至頂網。

總結

以上是生活随笔為你收集整理的针对“永恒之蓝（WannaCry）”攻击紧急处置手册的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。